CN117370968A - 基于生产行为的工控系统异常检测方法、装置 - Google Patents
基于生产行为的工控系统异常检测方法、装置 Download PDFInfo
- Publication number
- CN117370968A CN117370968A CN202311190161.7A CN202311190161A CN117370968A CN 117370968 A CN117370968 A CN 117370968A CN 202311190161 A CN202311190161 A CN 202311190161A CN 117370968 A CN117370968 A CN 117370968A
- Authority
- CN
- China
- Prior art keywords
- sequence
- entropy
- time
- sensor
- subsequences
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006399 behavior Effects 0.000 title claims abstract description 102
- 238000004519 manufacturing process Methods 0.000 title claims abstract description 80
- 238000001514 detection method Methods 0.000 title claims abstract description 78
- 230000005856 abnormality Effects 0.000 title claims abstract description 42
- 230000015654 memory Effects 0.000 claims abstract description 37
- 238000000034 method Methods 0.000 claims abstract description 31
- 230000008859 change Effects 0.000 claims abstract description 27
- 238000005520 cutting process Methods 0.000 claims abstract description 21
- 238000004458 analytical method Methods 0.000 claims abstract description 20
- 238000012549 training Methods 0.000 claims abstract description 18
- 238000010219 correlation analysis Methods 0.000 claims abstract description 11
- 238000004422 calculation algorithm Methods 0.000 claims description 30
- 238000003860 storage Methods 0.000 claims description 18
- 230000002159 abnormal effect Effects 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 14
- 239000013598 vector Substances 0.000 claims description 14
- 238000000605 extraction Methods 0.000 claims description 10
- 230000007704 transition Effects 0.000 claims description 9
- 238000013507 mapping Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 7
- 238000012935 Averaging Methods 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims description 4
- 230000001902 propagating effect Effects 0.000 claims description 2
- 230000000295 complement effect Effects 0.000 abstract 1
- 238000009776 industrial production Methods 0.000 description 14
- 239000011159 matrix material Substances 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000009286 beneficial effect Effects 0.000 description 5
- 238000009826 distribution Methods 0.000 description 5
- 238000011897 real-time detection Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 229920002430 Fibre-reinforced plastic Polymers 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000011151 fibre-reinforced plastic Substances 0.000 description 1
- 238000009499 grossing Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007787 long-term memory Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000035772 mutation Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 239000013585 weight reducing agent Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
- G06N3/0442—Recurrent networks, e.g. Hopfield networks characterised by memory or gating, e.g. long short-term memory [LSTM] or gated recurrent units [GRU]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/047—Probabilistic or stochastic networks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Artificial Intelligence (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Mathematical Physics (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Molecular Biology (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Probability & Statistics with Applications (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
本发明属于工控系统技术领域,涉及一种基于生产行为的工控系统异常检测方法、装置,方法包括获取传感器时序,且进行平滑切割,形成多个子序列,并对多个所述子序列进行特征提取;对DBSCAN参数进行计算,以特征值作为子序列代表,得到子序列对应的集群序列;采用HSMM对传感器时序进行行为建模,得到传感器行为模型的隐半马尔可夫模型参数;以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系;将训练集生成的观测序列输入到HSMM模型进行异常检测。可在构建轻量级异常检测的基础上,提供可补充式基于LSTM的关联依赖性分析。
Description
技术领域
本发明涉及工控系统技术领域,尤其涉及基于生产行为的工控系统异常检测方法、装置、计算机设备及存储介质。
背景技术
在工业互联网的浪潮下,越来越多的工控系统由较封闭系统转向开放系统,由单一网络环境转向复杂网络环境,导致工业互联网面临严重安全风险。生产过程攻击通过向应用层协议注入恶意命令或数据,改变工业控制流,破坏正常生产过程,导致设备故障,甚至生产事故。从网络角度看,生产过程攻击流量的并不违反通信协议的语法规定。然而,从工业系统来看,生产过程攻击却违反了工业生产过程的一些限制规则或物理规律。
现有的异常检测技术主要基于网络流量特征、基于物理系统规律和基于工控协议规范进行研究。基于网络流量特征的异常检测技术,主要考虑了工业互联网传输层及下层的流统计特征,对工业互联网传输层及下层的网络攻击虽具有较好的检测效果,然而生产过程攻击的特征主要体现在生产过程的时序行为中,其网络流量在传输层、网络层和物理层的特征都符合相应的协议规范,因而现有基于网络流量的异常检测方法无法准确地检测生产过程攻击。基于工控协议的入侵检测方法依赖于协议规范,通过分析协议规范来准确定义入侵检测的规则。不准确的规则定义会导致较高的误报率。此外,此类方法一般是基于人工分析来制定安全策略,通常是非常耗时的。基于物理系统规律的异常检测技术,充分利用工控系统的物理状态或生产过程特征来检测入侵,相关工作主要分为基于物理状态和基于生产过程的两类。基于LSTM、神经网络等人工智能算法模型的入侵检测技术,要求训练数据须带有标签,在误用检测方面虽有优势,但不能用于检测新型的攻击,不适用于工业互联网的工业生产过程异常检测。
发明内容
本发明实施例的目的在于提出一种基于生产行为的工控系统异常检测方法、装置、计算机设备及存储介质,以解决现有的工控系统异常检测不适用于工业互联网的工业生产过程异常检测的问题。
为了解决上述技术问题,本发明提供一种基于生产行为的工控系统异常检测方法,采用了如下所述的技术方案,包括:
获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为;
对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集,并对多个所述子序列进行特征提取;
对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列;
基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数;
以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系;
将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
优选地,所述获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为的步骤具体包括:
在多个节点配置传感器;
通过所配置的传感器,采集传感器时序。优选地,所述对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集合,并对多个所述子序列进行特征提取的步骤具体包括:
对所述传感器时序数据进行去噪、滤波处理;
根据预处理后的数据特征,选取数据变化趋势点作为切割位置。优选地,所述对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列的步骤具体包括:
估计聚类算法参数,得到epsilon参数和minPts参数;
将epsilon参数和minPts参数与特征向量集合,输入DBSCAN算法中进行聚类,得到对应的所属类序列;
对属于相同状态的子序列特征向量取平均,得到对应状态的状态特征向量。优选地,所述基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数的步骤具体包括:
通过对设备状态变化序列以及对应状态持续时间进行统计,得到初始的HSMM参数;
以初始模型参数作为输入,对整个时序数据进行训练。
优选地,所述以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系的步骤具体包括:
初始化LSTM模型参数;
将输入序列通过LSTM模型进行前向传播;
将LSTM模型的输出与目标序列进行比较,计算LSTM模型的损失值;
根据损失值,通过反向传播算法计算梯度,并更新LSTM模型的权重参数。优选地,所述将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常的步骤具体包括:
假设当前观测序列为oT-d+1:T,序列长度为d,计算观测序列的观测熵En和观测序列的平均对数熵ALE;
输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
为了解决上述技术问题,本发明还提供一种基于生产行为的工控系统异常检测装置,采用了如下所述的技术方案,包括:
获取模块,用于获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为;
特征提取模块,用于对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集合,并对多个所述子序列进行特征提取;
聚类模块,用于对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列;
建模模块,用于基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数;
分析模块,用于以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系;
检测模块,用于将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
为了解决上述技术问题,本发明还提供一种计算机设备,采用了如下所述的技术方案,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现上述的基于生产行为的工控系统异常检测方法的步骤。
为了解决上述技术问题,本发明还提供一种计算机可读存储介质,采用了如下所述的技术方案,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现上述的基于生产行为的工控系统异常检测方法的步骤。
与现有技术相比,本发明主要有以下有益效果:其一,通过基于时序影响因子变化趋势进行切割,能准确检测违反工业生产过程的限制规则或物理规律的生产过程攻击,为工业生产过程建模与分析提供理论模型,还为工业互联网安全保障提供关键技术支撑;
其二,基于HSMM(隐半马尔可夫)的轻量级模型进行异常检测,以高效、轻量、实时检测为出发点,从工业现场设备的时序行为出发,利用复杂度较低的HSMM进行行为建模,能基于行为偏移的生产过程进行异常检测方法。
其三,提出了一种基于隐半马尔可夫与长短期记忆模型的异常检测架构,对于检测精度需求更高、实时需求较低的复杂工业场景,其时序行为更为复杂,存在长时间依赖性,且不同设备间存在隐藏关联性,可在构建轻量级异常检测的基础上,提供可补充式基于LSTM的关联依赖性分析。
附图说明
为了更清楚地说明本发明中的方案,下面将对本发明实施例描述中所需要使用的附图作一个简单介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明的基于生产行为的工控系统异常检测方法的一个实施例的流程图;
图2是本发明的基于生产行为的工控系统异常检测方法的传感器的观测序列示意图;
图3是本发明的基于生产行为的工控系统异常检测方法的执行架构图;
图4是本发明的基于生产行为的工控系统异常检测装置的一个实施例的结构示意图;
图5是本发明的计算机设备的一个实施例的结构示意图。
具体实施方式
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同;本文中在申请的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明;本发明的说明书和权利要求书及上述附图说明中的术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含。本发明的说明书和权利要求书或上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
在本文中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了使本技术领域的人员更好地理解本发明方案,下面将结合附图,对本发明实施例中的技术方案进行清楚、完整地描述。
需要说明的是,本发明实施例所提供的基于生产行为的工控系统异常检测方法一般由服务器/终端设备执行,相应地,基于生产行为的工控系统异常检测装置一般设置于服务器/终端设备中。
应该理解,终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
实施例一
继续参考图1,示出了本发明的基于生产行为的工控系统异常检测方法的一个实施例的流程图。所述基于生产行为的工控系统异常检测方法,包括以下步骤:
步骤S1,获取传感器时序,传感器时序用于表征工控系统的生产行为。
在本实施例中,基于生产行为的工控系统异常检测方法运行于其上的电子设备(例如服务器/终端设备)可以通过有线连接方式或者无线连接方式接收基于生产行为的工控系统异常检测请求。需要指出的是,上述无线连接方式可以包括但不限于3G/4G/5G连接、WiFi连接、蓝牙连接、WiMAXX连接、Zigbee连接、UWB(ultra wideband)连接、以及其他现在已知或将来开发的无线连接方式。
传感器时序,指的是传感器时间序列,是由传感器采样和捕获的一系列连续的数据点。传感器时序表征工控系统的生产行为,例如在汽车制造工厂中,不同生产环节的传感器(如温度传感器、压力传感器等)会收集相应的时序数据。这些时序数据可以反映生产过程的实时状态,通过对这些时序数据的分析,可以全面了解生产过程的各个部分是如何协同工作的,从而揭示整个生产行为。
在本实施例中,步骤S1,获取传感器时序,传感器时序用于表征工控系统的生产行为具体还可以包括步骤:
S11、在多个节点配置传感器。
为了监测设备、生产线以及整个系统的运行状态,在各个设备、生产线节点配置传感器。
S12、采集传感器时序。
由所配置的传感器采集各种传感器时序。采集的传感器时序发送至服务器,进行汇总并实时处理,对系统的运行做出实时监测或预警。
步骤S2,对传感器时序进行平滑切割,形成多个子序列,多个子序列形成子序列集,并对多个子序列进行特征提取。
传感器时间序列的平滑切割是一种处理传感器数据的方法,主要目的是降低数据噪声、消除异常值以及提高数据质量。这种方法主要应用于物联网、智能监控等领域,其中传感器时间序列数据对于分析和预测系统状态具有重要意义。为了更加有效地理解和处理数据,采用特征提取将子序列集合内的高维数据转化为具有代表性的低维特征向量。
在本实施例中,步骤S2,对传感器时序进行平滑切割,形成多个子序列,多个子序列形成子序列集,并对多个子序列进行特征提取具体还可以包括步骤:
S21、对所述传感器时序数据进行去噪、滤波处理。
对所述传感器时序数据进行去噪、滤波处理,目的在于消除数据中的随机波动和异常值,提高数据可信度和可用性。同时对数据进行平滑处理,以消除数据突变,使曲线获得更清晰的变化趋势。S22、根据预处理后的数据特征,选取数据变化趋势点作为切割位置。
保证切割后的序列只有单一的变化趋势,如递增、递减或平缓。将传感器时间序列划分为多个段,便于后续的数据分析和建模。
为了更准确地表示传感器时间序列的状态,根据对时间序列变化趋势的观察,如图2所示,图2是本发明的基于生产行为的工控系统异常检测方法的传感器的观测序列示意图。通过计算相邻两点的斜率,以斜率正负变化时刻作为序列趋势变化点,并以序列的趋势变化点作为切割点,得到M个子序列。得到的子序列往往具有单一的变化趋势:递增、递减或平缓。针对此特性,以<k、mean、length>作为子序列的一组特征值,并提取所有子序列的特征值,其中k代表子序列的平均斜率,mean和length分别代表子序列的均值和长度。K值的计算可以通过对切割后的子时序中相邻两点斜率求平均数而得到,mean值则是子时序内所有数据值的平均数,而length则代表子时序中有多少个数据。例如得到的子序列为S={s1,s2,s3,…,sn},则
以时间子序列组作为观察的基本单位有两个优点:其一、原始时间序列源源不断被采集记录,时间跨度过大,而序列时间段的长度适中,有助于高效地对序列模式进行建模,可靠性高;其二,由于时间序列反映了设备的工作状态,时间子序列能够反映一段时间内设备部件组的工作状态,因此时间子序列组适合作为最小分析单元。此外,待检测的多维时序数据中,具有一定长度和规模的异常片段,采用时间间隔(序列时间段)作为基本单位,而不是仅仅考虑发生故障的离散时间点。
步骤S3,对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列。
集群序列即传感器时序中所隐含的生产过程设备的状态序列。
DBSCAN是一种基于高密度连通区域的、基于密度的聚类算法,能够将具有足够高密度的区域划分为簇,并在具有噪声的数据中发现任意形状的簇。应用DBSCAN算法时需要的两个参数以及一些额外的参数epsilon和集群点数最小值(minPts)。epsilon代表集群的最大半径。如果数据点的相互距离小于或等于指定的epsilon,那么它们将是同一类的。在一个邻域的半径内拥有minPts个数值的邻域被认为是一个簇。一个较低的minPts帮助算法建立更多的集群与更多的噪声或离群值。较高的minPts将确保更健壮的集群,但如果集群太大,较小的集群将被合并到较大的集群中。
在本实施例中,步骤S3,对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列具体还可以包括步骤:
S31、估计聚类算法参数,得到epsilon参数和minPts参数。
使用k近邻算法估计epsilon值。根据新数据点与其他已知数据点的距离来聚类,根据经验,k值一般选择特征序列维数。为了确定最佳的epsilon值,需要计算每个点与其最近/最近邻居之间的平均距离。然后绘制一个k距离图,并选择在曲线突变处作为epsilon值。同时根据先验知识,minPts一般设置为特征向量维度的两倍。
S32、将epsilon参数和minPts参数与特征向量集合,输入DBSCAN算法中进行聚类,得到对应的所属类序列。
特征向量代表子序列的主要特征,而子序列主要特征表示在一段时间内生产设备在生产过程中的状态变化趋势,因此将聚类得到的所属类视为生产设备状态,将类的转变序列视为生产过程中的设备状态变化序列。
S33、对属于相同状态的子序列特征向量取平均,得到对应状态的状态特征向量。
步骤S4,基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数。
隐半马尔可夫模型(HSMM)是改进版的隐马尔模型(HMM),考虑的是状态驻留概率分布为显式的一种HMM,在已定义的隐马尔科夫模型的结构上加入了时间组成部分,相对于隐马尔科夫模型,隐半马尔科夫模型的主要优点是可以灵活地建模状态的持续时间,它可以很好地处理长时间的状态,并且可以根据实际数据来调整状态的持续时间分布。此外,相对于隐马尔科夫模型,隐半马尔科夫模型的计算复杂度更低,因为它只需要计算状态的持续时间分布和发射概率。HSMM克服了因马尔科夫链的假设造成HMM建模所具有的局限性,在解决现实问题中,HSMM提供更好的建模能力和分析能力。因此,HSMM可以在保持轻量化的前提下准确地进行单一时序的行为建模。
在本实施例中,步骤S4,基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数的步骤具体还可以包括步骤:
S41、通过对设备状态变化序列以及对应状态持续时间进行统计,得到初始的HSMM参数。
初始的HSMM参数即状态转移概率矩阵,发射矩阵。初始的HSMM参数将影响模型的拟合效果和预测能力。
S42、以初始模型参数作为输入,对整个时序数据进行训练。
通过EM算法得到前向概率和后向概率。EM算法分为两步:首先通过观察数据和现有模型来估计参数,然后用这个估计的参数值来计算似然函数的期望值。然后寻找似然函数最大化时对应的参数。由于算法会保证在每次迭代之后似然函数都会增加,函数最终会收敛,结束训练。整个生产过程中,将传感器观测参数的变化视为隐半马尔可夫过程。理论上聚类后每个类中的子序列均具有相似的变化趋势以及变化区间,故在训练过程中,将每个类视为一个状态。根据子序列出现的先后顺序以及对应的状态,得到大小为N×1的隐含状态序列S={1,2,…,n},同时子序列的长度视为状态的持续时间,其中N代表生产设备在当前时间段所处状态序号。
给定HSMM模型其中π表示初始序列的状态可能概率,A表示状态转移概率矩阵,B表示状态发射概率矩阵,P表示状态持续时间分布概率矩阵。
Step1:得到初始模型参数。遍历隐含状态序列S,依次将由状态i转移至j的次数(i,j∈N&i≠j)记录至aij,再将得到的矩阵A进行归一化,得到状态转移概率矩阵A。计算任一时间段的时序特征向量与状态特征向量的距离,距离越小则两个序列越相似,即状态发射出对应序列的概率越大。由于得到的距离与相似度呈负相关,为了便于后续概率的计算,需要对距离进行转换后,使距离与相似度正相关,以此作为矩阵B的元素bt(i)。最后视状态持续时间分布为平均分布,利用统计的方法得到矩阵P;
Step2:建立HSMM模型,利用EM算法与前向-后向算法对模型进行迭代优化,求得前向概率αt(j,d)和后向概率βt(j,d),并进一步根据以下公式计算γ、ξ、n,其中γ是指在t时刻状态为j的概率,ξ表示在t至t+1时刻发生由状态i转移至状态j的概率,η代表t时刻时设备处于状态j且状态已持续d时刻的概率:
EM算法首先根据己经给出的观测数据,估计出模型参数的值;然后再依据上一步估计出的参数值估计缺失数据的值,再根据估计出的缺失数据加上之前己经观测到的数据重新再对参数值进行估计,然后反复迭代,直至最后收敛,迭代结束,得到训练后的HSMM模型参数α、β。
步骤S5,以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系。
长短时间记忆(LSTM)可以很好地解决长时依赖问题,记住很早时刻的信息是LSTM的默认行为,而不需要专门为此付出很大代价。LSTM拥有三个门控单元:遗忘门、输入门和输出门。通过遗忘门确定单元状态中哪些不必要的信息会被丢弃,进而由输入门控制新输入的信息以及哪些信息需要被保留,最后通过输出门进行信息的更新。由此,LSTM不仅可以对单设备时序进行长时间依赖分析,还可以对设备间的状态关联进行匹配记忆。
在本实施例中,步骤S5,以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系具体还可以包括步骤:
S51、初始化LSTM模型参数。
初始化LSTM模型的权重参数,包括输入门、遗忘门、输出门等。
S52、将输入序列通过LSTM模型进行前向传播。
在每个时间步,LSTM模型将接收当前时间步的输入和上一时间步的隐藏状态,然后计算当前时间步的输出和新的隐藏状态,将其传递到下一个时间步。
S53、将LSTM模型的输出与目标序列进行比较,计算LSTM模型的损失值。
常用的损失函数包括均方误差(MSE)和交叉熵损失(Cross-Entropy)等。
S54、根据损失值,通过反向传播算法计算梯度,并更新LSTM模型的权重参数。
为了减小损失函数的值,还可以优化LSTM模型,使其能够更好地拟合训练数据。
在本实施例的一些可选的实现方式中,重复执行步骤S53到S54,直到达到预先设定的停止条件,如达到最大训练轮数或损失收敛到一定阈值。
模糊熵用于衡量时间序列在维数变化时产生新模式的概率的大小。序列产生新模式的概率越大,序列的复杂性程度越高,熵值越大。即当设备受到攻击时,相对稳定的熵值会因下一序列的不确定性而产生明显的波动,以此作为异常检测的标准。
步骤S6,将训练集生成的观测序列输入到模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
当模型训练完成后,用测试集来检测哪一段时间范围出现了由攻击或者人为失误操作导致的异常行为。
在本实施例中,步骤S6,将训练集生成的观测序列输入到模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常具体还可以包括步骤:
S61、假设当前观测序列为oT-d+1:T,序列长度为d,计算观测序列的观测熵En和观测序列的平均对数熵ALE,其中T代表观测单位时间的个数:
S62、输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
对于一个传感器组内所有维度上的序列进行行为建模,不同设备上的时间序列独立计算。对于一段较长时间内的工业时间序列,同一个传感器组在同一工作周期模式下,序列之间往往具有稳定不变相关性关系,而工作模式的转变可能导致序列间的变相关关系。对于变相关关系的序列,可以根据其具体工作模式,将其分割为若干个序列时间段,对段内的时间序列,即可利用本实施例进行行为分析。在计算序列间行为模型,则可对隐藏的异常数据进行准确检测。
图3是本发明的基于生产行为的工控系统异常检测方法的执行架构图。如图3所示,对传感器时序进行平滑切割,并对子序列进行特征提取,同时对DBSCAN参数进行计算,以此为基础进行序列聚类,得到各子序列对应的集群序列,即状态序列。其次,基于得到的状态序列以及子序列集,采用HSMM对时序进行行为建模,将子序列状态的转换映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法训练正常时序行为模型的参数。接着,以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条时序进行关联性分析,并得到单条时序因子随时间变化的长时间依赖关系。最后,在工业生产过程异常检测时,一方面根据子序列平均对数熵对设备异常行为进行检测,另一方面根据当前序列状态推测相关序列所处状态,计算预测值与真实值之间的误差,以此进一步确认设备异常。
实施本实施例,其有益效果是:
其一,通过基于时序影响因子变化趋势进行切割,能准确检测违反工业生产过程的限制规则或物理规律的生产过程攻击,为工业生产过程建模与分析提供理论模型,还为工业互联网安全保障提供关键技术支撑;
其二,基于HSMM(隐半马尔可夫)的轻量级模型进行异常检测,以高效、轻量、实时检测为出发点,从工业现场设备的时序行为出发,利用复杂度较低的HSMM进行行为建模,能基于行为偏移的生产过程进行异常检测方法。
其三,提出了一种基于隐半马尔可夫与长短期记忆模型的异常检测架构,对于检测精度需求更高、实时需求较低的复杂工业场景,其时序行为更为复杂,存在长时间依赖性,且不同设备间存在隐藏关联性,可在构建轻量级异常检测的基础上,提供可补充式基于LSTM的关联依赖性分析。
本发明可用于众多通用或专用的计算机系统环境或配置中。例如:个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、置顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,该计算机可读指令可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,前述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)等非易失性存储介质,或随机存储记忆体(Random Access Memory,RAM)等。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
实施例二
进一步参考图4,作为对上述图1所示方法的实现,本发明提供了一种基于生产行为的工控系统异常检测装置的一个实施例,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例所述基于生产行为的工控系统异常检测装置70包括:获取模块71、特征提取模块72、聚类模块73、建模模块74、分析模块75以及检测模块76。其中:
获取模块71,用于获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为;
特征提取模块72,用于对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集合,并对多个所述子序列进行特征提取;
聚类模块73,用于对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列;
建模模块74,用于基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数;
分析模块75,用于以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系;
检测模块76,用于将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
实施本实施例,其有益效果是:
其一,通过基于时序影响因子变化趋势进行切割,能准确检测违反工业生产过程的限制规则或物理规律的生产过程攻击,为工业生产过程建模与分析提供理论模型,还为工业互联网安全保障提供关键技术支撑;
其二,基于HSMM(隐半马尔可夫)的轻量级模型进行异常检测,以高效、轻量、实时检测为出发点,从工业现场设备的时序行为出发,利用复杂度较低的HSMM进行行为建模,能基于行为偏移的生产过程进行异常检测方法。
其三,提出了一种基于隐半马尔可夫与长短期记忆模型的异常检测架构,对于检测精度需求更高、实时需求较低的复杂工业场景,其时序行为更为复杂,存在长时间依赖性,且不同设备间存在隐藏关联性,可在构建轻量级异常检测的基础上,提供可补充式基于LSTM的关联依赖性分析。
实施例三
为解决上述技术问题,本发明实施例还提供计算机设备。具体请参阅图5,图5为本实施例计算机设备基本结构框图。
上述计算机设备8包括通过系统总线相互通信连接存储器81、处理器82、网络接口83。需要指出的是,图中仅示出了具有组件存储器81、处理器82和网络接口83的计算机设备8,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。其中,本技术领域技术人员可以理解,这里的计算机设备是一种能够按照事先设定或存储的指令,自动进行数值计算和/或信息处理的设备,其硬件包括但不限于微处理器、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程门阵列(Field-Programmable Gate Array,FPGA)、数字处理器(Digital Signal Processor,DSP)、嵌入式设备等。
上述计算机设备可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。上述计算机设备可以与用户通过键盘、鼠标、遥控器、触摸板或声控设备等方式进行人机交互。
上述存储器81至少包括一种类型的可读存储介质,上述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,上述存储器81可以是上述计算机设备8的内部存储单元,例如该计算机设备8的硬盘或内存。在另一些实施例中,上述存储器81也可以是上述计算机设备8的外部存储设备,例如该计算机设备8上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(FlashCard)等。当然,上述存储器81还可以既包括上述计算机设备8的内部存储单元也包括其外部存储设备。本实施例中,上述存储器81通常用于存储安装于上述计算机设备8的操作系统和各类应用软件,例如基于生产行为的工控系统异常检测方法的计算机可读指令等。此外,上述存储器81还可以用于暂时地存储已经输出或者将要输出的各类数据。
上述处理器82在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器82通常用于控制上述计算机设备8的总体操作。本实施例中,上述处理器82用于运行上述存储器81中存储的计算机可读指令或者处理数据,例如运行上述基于生产行为的工控系统异常检测方法的计算机可读指令。
上述网络接口83可包括无线网络接口或有线网络接口,该网络接口83通常用于在上述计算机设备8与其他电子设备之间建立通信连接。
实施本实施例,其有益效果是:
其一,通过基于时序影响因子变化趋势进行切割,能准确检测违反工业生产过程的限制规则或物理规律的生产过程攻击,为工业生产过程建模与分析提供理论模型,还为工业互联网安全保障提供关键技术支撑;
其二,基于HSMM(隐半马尔可夫)的轻量级模型进行异常检测,以高效、轻量、实时检测为出发点,从工业现场设备的时序行为出发,利用复杂度较低的HSMM进行行为建模,能基于行为偏移的生产过程进行异常检测方法。
其三,提出了一种基于隐半马尔可夫与长短期记忆模型的异常检测架构,对于检测精度需求更高、实时需求较低的复杂工业场景,其时序行为更为复杂,存在长时间依赖性,且不同设备间存在隐藏关联性,可在构建轻量级异常检测的基础上,提供可补充式基于LSTM的关联依赖性分析。
实施例四
本发明还提供了另一种实施方式,即提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可读指令,所述计算机可读指令可被至少一个处理器执行,以使所述至少一个处理器执行如上述的基于生产行为的工控系统异常检测方法的步骤。
实施本实施例,其有益效果是:
其一,通过基于时序影响因子变化趋势进行切割,能准确检测违反工业生产过程的限制规则或物理规律的生产过程攻击,为工业生产过程建模与分析提供理论模型,还为工业互联网安全保障提供关键技术支撑;
其二,基于HSMM(隐半马尔可夫)的轻量级模型进行异常检测,以高效、轻量、实时检测为出发点,从工业现场设备的时序行为出发,利用复杂度较低的HSMM进行行为建模,能基于行为偏移的生产过程进行异常检测方法。
其三,提出了一种基于隐半马尔可夫与长短期记忆模型的异常检测架构,对于检测精度需求更高、实时需求较低的复杂工业场景,其时序行为更为复杂,存在长时间依赖性,且不同设备间存在隐藏关联性,可在构建轻量级异常检测的基础上,提供可补充式基于LSTM的关联依赖性分析。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例方法。
显然,以上所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例,附图中给出了本发明的较佳实施例,但并不限制本发明的专利范围。本发明可以以许多不同的形式来实现,相反地,提供这些实施例的目的是使对本发明的公开内容的理解更加透彻全面。尽管参照前述实施例对本发明进行了详细的说明,对于本领域的技术人员来而言,其依然可以对前述各具体实施方式所记载的技术方案进行修改,或者对其中部分技术特征进行等效替换。凡是利用本发明说明书及附图内容所做的等效结构,直接或间接运用在其他相关的技术领域,均同理在本发明专利保护范围之内。
Claims (10)
1.一种基于生产行为的工控系统异常检测方法,其特征在于,包括下述步骤:
获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为;
对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集,并对多个所述子序列进行特征提取;
对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列;
基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数;
以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系;
将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
2.根据权利要求1所述的基于生产行为的工控系统异常检测方法,其特征在于,所述获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为的步骤具体包括:
在多个节点配置传感器;
通过所配置的传感器,采集传感器时序。
3.根据权利要求1所述的基于生产行为的工控系统异常检测方法,其特征在于,所述对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集合,并对多个所述子序列进行特征提取的步骤具体包括:
对所述传感器时序数据进行去噪、滤波处理;
根据预处理后的数据特征,选取数据变化趋势点作为切割位置。
4.根据权利要求1所述的基于生产行为的工控系统异常检测方法,其特征在于,所述对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列的步骤具体包括:
估计聚类算法参数,得到epsilon参数和minPts参数;
将epsilon参数和minPts参数与特征向量集合,输入DBSCAN算法中进行聚类,得到对应的所属类序列;
对属于相同状态的子序列特征向量取平均,得到对应状态的状态特征向量。
5.根据权利要求1所述的基于生产行为的工控系统异常检测方法,其特征在于,所述基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数的步骤具体包括:
通过对设备状态变化序列以及对应状态持续时间进行统计,得到初始的HSMM参数;
以初始模型参数作为输入,对整个时序数据进行训练。
6.根据权利要求1所述的基于生产行为的工控系统异常检测方法,其特征在于,所述以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系的步骤具体包括:
初始化LSTM模型参数;
将输入序列通过LSTM模型进行前向传播;
将LSTM模型的输出与目标序列进行比较,计算LSTM模型的损失值;
根据损失值,通过反向传播算法计算梯度,并更新LSTM模型的权重参数。
7.根据权利要求1至6任意一项所述的基于生产行为的工控系统异常检测方法,其特征在于,所述将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常的步骤具体包括:
假设当前观测序列为oT-d+1:T,序列长度为d,计算观测序列的观测熵En和观测序列的平均对数熵ALE;
输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
8.一种基于生产行为的工控系统异常检测装置,其特征在于,包括:
获取模块,用于获取传感器时序,所述传感器时序用于表征所述工控系统的所述生产行为;
特征提取模块,用于对所述传感器时序进行平滑切割,形成多个子序列,多个所述子序列形成子序列集合,并对多个所述子序列进行特征提取;
聚类模块,用于对DBSCAN参数进行计算,以特征值作为子序列代表,通过对特征值集合进行DBSCAN聚类,得到子序列对应的集群序列;
建模模块,用于基于状态序列以及子序列集,采用HSMM对传感器时序进行行为建模,将子序列状态的转换,映射为状态持续时间可变的隐状态马尔可夫过程,并基于无监督参数估计算法,得到传感器行为模型的隐半马尔可夫模型参数;
分析模块,用于以训练好的HSMM模型作为底层架构,向上搭建LSTM记忆模块,对多条所述传感器时序进行关联性分析,得到单条时序因子随时间变化的长时间依赖关系;
检测模块,用于将训练集生成的观测序列输入到HSMM模型,得到正常行为下的熵区间,输入某段时间的观测序列得到的熵,并与正常熵区间进行比较,若不在区间内,则判定为异常。
9.一种计算机设备,包括存储器和处理器,所述存储器中存储有计算机可读指令,所述处理器执行所述计算机可读指令时实现如权利要求1至7中任一项所述的基于生产行为的工控系统异常检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机可读指令,所述计算机可读指令被处理器执行时实现如权利要求1至7中任一项所述的基于生产行为的工控系统异常检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311190161.7A CN117370968A (zh) | 2023-09-15 | 2023-09-15 | 基于生产行为的工控系统异常检测方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311190161.7A CN117370968A (zh) | 2023-09-15 | 2023-09-15 | 基于生产行为的工控系统异常检测方法、装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117370968A true CN117370968A (zh) | 2024-01-09 |
Family
ID=89401213
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311190161.7A Pending CN117370968A (zh) | 2023-09-15 | 2023-09-15 | 基于生产行为的工控系统异常检测方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117370968A (zh) |
-
2023
- 2023-09-15 CN CN202311190161.7A patent/CN117370968A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111694879B (zh) | 一种多元时间序列异常模式预测方法及数据采集监控装置 | |
| CN116665130B (zh) | 基于时空图的大坝安全监测多元时间序列异常检测方法 | |
| CN109618301B (zh) | 无线传感器网络的数据处理方法、可读存储介质和终端 | |
| CN109640284B (zh) | 无线传感器网络系统 | |
| CN114528547B (zh) | 基于社区特征选择的icps无监督在线攻击检测方法和设备 | |
| Nie et al. | An ensemble-policy non-intrusive load monitoring technique based entirely on deep feature-guided attention mechanism | |
| Huang et al. | An energy-efficient and trustworthy unsupervised anomaly detection framework (EATU) for IIoT | |
| CN116364203A (zh) | 一种基于深度学习的水质预测方法、系统和装置 | |
| CN115983497A (zh) | 一种时序数据预测方法和装置、计算机设备、存储介质 | |
| Liu et al. | Time series analysis model for forecasting unsteady electric load in buildings | |
| CN118035670A (zh) | 基于Deep-Pred框架的台风风速预测方法及系统 | |
| Huo et al. | Traffic anomaly detection method based on improved GRU and EFMS-Kmeans clustering | |
| CN117234844A (zh) | 云服务器异常管理方法、装置、计算机设备及存储介质 | |
| CN116738354A (zh) | 一种电力物联网终端行为异常检测方法及系统 | |
| CN117370968A (zh) | 基于生产行为的工控系统异常检测方法、装置 | |
| CN116578858A (zh) | 基于图神经网络的空压机故障预测与健康度评价方法及系统 | |
| ul Islam et al. | A low complexity binary-weighted energy disaggregation framework for residential electricity consumption | |
| CN111931798B (zh) | 进行冷头状态分类检测和寿命预测的方法 | |
| Tang et al. | Spatial-Temporal Wind Power Probabilistic Forecasting Based on Time-Aware Graph Convolutional Network | |
| Liu et al. | Prediction of hydraulic pumps remaining useful life based on LSTM and Transform with dual self-attention | |
| CN118228613B (zh) | 一种改进tso优化深度学习模型的软测量方法 | |
| CN118585967B (zh) | Qar数据动态还原分析系统及方法 | |
| CN118468042B (zh) | 多类别电力负荷的自适应预测方法、系统、设备及介质 | |
| Cheng et al. | A PSO-LSSVM based petroleum production model for production-injection wells system | |
| Li | Research on Network Security State Prediction Method Based on SVM |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |